WEBVTT 00:00.090 --> 00:00.930 Instruktor: W tej 00:00.930 --> 00:03.360 lekcji porozmawiamy o serwerach AAA, co oznacza uwierzytelnianie, 00:03.360 --> 00:06.210 autoryzację i księgowanie, a aby zrozumieć serwery AAA, pierwszą 00:06.210 --> 00:09.000 rzeczą, którą musimy zrobić, jest zrozumienie, w jaki sposób 00:09.000 --> 00:12.327 802. 1X działa jako framework. 00:12.327 --> 00:15.240 Instruktor: 802. 1X to ustandaryzowana struktura używana 00:15.240 --> 00:17.040 do uwierzytelniania opartego na portach zarówno 00:17.040 --> 00:19.650 w sieciach przewodowych, jak i bezprzewodowych. 00:19.650 --> 00:22.800 Teraz, od 802. 1X to tylko framework, w rzeczywistości 00:22.800 --> 00:24.840 będzie wykorzystywał inne mechanizmy do 00:24.840 --> 00:27.210 rzeczywistego uwierzytelniania. 00:27.210 --> 00:28.140 Na przykład, zarówno 00:28.140 --> 00:30.690 usługa Remote Authentication Dial-In User Service, znana 00:30.690 --> 00:31.800 jako RADIUS, jak i Terminal 00:31.800 --> 00:33.510 Access Controller Access-Control System 00:33.510 --> 00:36.510 Plus lub TACACS+, mogą być wykorzystywane do przeprowadzania uwierzytelniania 00:36.510 --> 00:41.700 przy użyciu standardu 802. 00:41.700 --> 00:41.700 Protokół 1X. 00:41.700 --> 00:43.410 Istnieją trzy role, które są wymagane do 00:43.410 --> 00:46.920 uwierzytelnienia w standardzie 802. 1X. 00:46.920 --> 00:49.830 Pierwszym z nich jest suplikant, czyli urządzenie 00:49.830 --> 00:51.660 lub użytkownik żądający dostępu 00:51.660 --> 00:54.030 do sieci, taki jak PC1 na tym obrazku. 00:54.030 --> 00:56.430 Następnie jest uwierzytelniacz, który jest urządzeniem, 00:56.430 --> 00:58.080 za pośrednictwem którego suplikant próbuje 00:58.080 --> 00:59.370 uzyskać dostęp do sieci. 00:59.370 --> 01:01.620 Zwykle będzie to coś w rodzaju przełącznika, 01:01.620 --> 01:04.860 bezprzewodowego punktu dostępowego lub koncentratora VPN. 01:04.860 --> 01:07.230 Wreszcie, istnieje serwer uwierzytelniania, 01:07.230 --> 01:08.760 który będzie scentralizowanym 01:08.760 --> 01:10.350 urządzeniem wykonującym uwierzytelnianie, 01:10.350 --> 01:11.970 którym zwykle będzie serwer RADIUS 01:11.970 --> 01:13.920 lub TACACS+. 01:13.920 --> 01:16.230 Uwierzytelnianie ma miejsce, gdy tożsamość osoby 01:16.230 --> 01:19.500 jest ustalana na podstawie dowodu i potwierdzana przez system. 01:19.500 --> 01:21.180 Robisz to każdego dnia. 01:21.180 --> 01:23.850 W rzeczywistości zrobiłeś to, logując się do tego kursu. 01:23.850 --> 01:26.340 Wprowadzając swój adres e-mail i hasło, twierdziłeś, 01:26.340 --> 01:28.380 że jesteś studentem, który zapłacił za 01:28.380 --> 01:30.660 ten kurs, a robiąc to, jesteś sprawdzany przez 01:30.660 --> 01:33.150 system i otrzymujesz dostęp. 01:33.150 --> 01:36.330 Istnieją różne sposoby uwierzytelniania tożsamości. 01:36.330 --> 01:38.700 W prawdziwym świecie, na przykład, jeśli zostaniesz zatrzymany 01:38.700 --> 01:40.380 za przekroczenie prędkości przez funkcjonariusza 01:40.380 --> 01:42.000 policji, możesz wyciągnąć prawo jazdy 01:42.000 --> 01:43.860 i pokazać mu, że to ty i że jesteś tym, za kogo 01:43.860 --> 01:45.780 się podajesz. 01:45.780 --> 01:47.220 To jest twój dowód. 01:47.220 --> 01:48.600 Obecnie w świecie cyfrowym 01:48.600 --> 01:51.000 mamy pięć metod uwierzytelniania. 01:51.000 --> 01:52.800 Mamy coś, co wiesz, co byłoby czymś 01:52.800 --> 01:55.050 w rodzaju hasła lub nazwy użytkownika, mamy 01:55.050 --> 01:57.150 coś, czym jesteś, co byłoby czymś w rodzaju 01:57.150 --> 02:00.390 odcisku palca, skanu oka lub siatkówki, mamy coś, co masz, co byłoby 02:00.390 --> 02:02.280 czymś w rodzaju tokena, prawa jazdy 02:02.280 --> 02:05.430 lub karty kredytowej, może to być coś, co robisz, czyli sposób, 02:05.430 --> 02:07.410 w jaki mówisz lub sposób, w jaki podpisujesz 02:07.410 --> 02:10.020 swoje imię i nazwisko, i może to być miejsce, w którym 02:10.020 --> 02:12.540 się znajdujesz, które znamy jako czynnik lokalizacji 02:12.540 --> 02:15.930 na podstawie lokalizacji GPS. 02:15.930 --> 02:19.080 LDAP to protokół lekkiego dostępu do katalogów. 02:19.080 --> 02:21.630 Jest to baza danych, która służy do centralizacji 02:21.630 --> 02:24.510 informacji o klientach i obiektach w sieci. 02:24.510 --> 02:28.050 LDAP jest zasadniczo uproszczoną wersją X. 500, która jest usługą 02:28.050 --> 02:29.490 katalogową i zawiera 02:29.490 --> 02:32.460 hierarchiczną organizację użytkowników, 02:32.460 --> 02:36.360 grup, serwerów i systemów w sieci. 02:36.360 --> 02:39.000 LDAP komunikuje się przez port 389, gdy 02:39.000 --> 02:41.400 robi to bez szyfrowania, a jeśli zdecydujesz 02:41.400 --> 02:46.290 się zaszyfrować go za pomocą SSL lub TLS, użyje portu 636. 02:46.290 --> 02:48.960 Podczas gdy LDAP jest uważany za wieloplatformowy, 02:48.960 --> 02:51.390 Microsoft stworzył własną implementację tego 02:51.390 --> 02:54.060 protokołu, znaną jako AD lub Active Directory. 02:54.060 --> 02:56.370 W domenie Windows Active Directory służy do 02:56.370 --> 02:58.710 organizowania i zarządzania wszystkim w sieci, 02:58.710 --> 03:00.570 w tym klientami, serwerami, urządzeniami, 03:00.570 --> 03:02.730 użytkownikami i grupami. 03:02.730 --> 03:04.650 Teraz usługa Active Directory może być również 03:04.650 --> 03:07.410 używana jako część zasad bezpieczeństwa lub kontroli dostępu za 03:07.410 --> 03:08.883 pośrednictwem zasad grupy. 03:09.990 --> 03:13.770 RADIUS to usługa Remote Authentication Dial-In User Service. 03:13.770 --> 03:17.130 Zapewnia scentralizowaną administrację uwierzytelnianiem dial-up, 03:17.130 --> 03:18.750 VPN i bezprzewodowym, dzięki czemu 03:18.750 --> 03:21.660 można go używać zarówno z 802. 1X i Extensible 03:21.660 --> 03:25.350 Authentication Protocol (EAP). 03:25.350 --> 03:27.870 RADIUS jest protokołem klient-serwer, który 03:27.870 --> 03:29.940 działa w siódmej warstwie modelu OSI, 03:29.940 --> 03:31.470 warstwie aplikacji. 03:31.470 --> 03:34.470 RADIUS jest zwykle skonfigurowany do uruchamiania na oddzielnym serwerze, 03:34.470 --> 03:36.810 ale może być również ładowany na serwerze Windows w mniejszych 03:36.810 --> 03:38.880 środowiskach domenowych. 03:38.880 --> 03:40.950 RADIUS służy do uwierzytelniania użytkowników, 03:40.950 --> 03:42.390 autoryzowania ich do usług i 03:42.390 --> 03:44.970 rozliczania korzystania z tych usług. 03:44.970 --> 03:48.120 RADIUS wykorzystuje również UDP do nawiązywania połączeń, dzięki 03:48.120 --> 03:49.470 czemu jest dość szybki podczas 03:49.470 --> 03:52.380 wykonywania funkcji uwierzytelniania i autoryzacji. 03:52.380 --> 03:55.140 Podczas gdy RADIUS jest standardem wieloplatformowym, 03:55.140 --> 03:58.590 istnieje zastrzeżony protokół firmy Cisco o nazwie TACACS+. 03:58.590 --> 04:00.300 Jest to system kontroli dostępu Terminal 04:00.300 --> 04:03.060 Access Controller Plus, który może pełnić rolę urządzenia uwierzytelniającego 04:03.060 --> 04:06.300 w sieci 802. Sieć 1X. 04:06.300 --> 04:08.640 Teraz do Ciebie należy określenie, która z nich jest najlepsza 04:08.640 --> 04:10.500 dla potrzeb Twojej organizacji. 04:10.500 --> 04:12.810 Osobiście używam RADIUS prawie wyłącznie 04:12.810 --> 04:14.370 w moich organizacjach. 04:14.370 --> 04:17.490 Odkryłem, że TACACS+ działa nieco wolniej, ponieważ 04:17.490 --> 04:20.100 opiera się na protokole TCP zamiast UDP, 04:20.100 --> 04:22.620 ale TACACS+ ma pewne zalety. 04:22.620 --> 04:24.090 Zapewnia dodatkowe bezpieczeństwo 04:24.090 --> 04:26.550 i niezależnie przeprowadza procesy uwierzytelniania, 04:26.550 --> 04:29.070 autoryzacji i księgowania. 04:29.070 --> 04:31.560 TACACS+ obsługuje wszystkie protokoły sieciowe, 04:31.560 --> 04:32.880 ale RADIUS, z drugiej strony, 04:32.880 --> 04:35.070 nie obsługuje protokołu zdalnego dostępu, 04:35.070 --> 04:38.850 protokołu NetBIOS Frame, X. 25 połączeń kołkowych i kilka 04:38.850 --> 04:39.840 innych. 04:39.840 --> 04:42.480 Ogólnie rzecz biorąc, TACACS+ jest doskonałym wyborem, ale 04:42.480 --> 04:44.490 tylko wtedy, gdy zamierzasz używać urządzeń 04:44.490 --> 04:45.630 Cisco w swojej sieci, ponieważ 04:45.630 --> 04:48.270 jeśli chcesz mieć tę możliwość międzyplatformową, będziesz 04:48.270 --> 04:49.770 musiał przejść na RADIUS, sposób, 04:49.770 --> 04:51.840 który wybrałem w przeszłości. 04:51.840 --> 04:54.360 Drugie A to autoryzacja. 04:54.360 --> 04:57.000 Autoryzacja ma miejsce, gdy użytkownik otrzymuje 04:57.000 --> 05:00.990 dostęp do określonych danych lub określonych obszarów budynku. 05:00.990 --> 05:03.120 Czy kiedykolwiek wszedłeś do budynku i zobaczyłeś 05:03.120 --> 05:06.570 tabliczkę z informacją o ograniczonym dostępie, tylko autoryzowany personel? 05:06.570 --> 05:09.180 Oznacza to, że nie możesz wejść na ten obszar. 05:09.180 --> 05:11.100 Może to być coś w rodzaju pomieszczenia serwisowego 05:11.100 --> 05:12.840 lub miejsca, w którym znajdują się generatory 05:12.840 --> 05:14.790 i tylko mechanicy mogą się tam dostać. 05:14.790 --> 05:16.650 Mają oni specjalne klucze lub odznaki, które 05:16.650 --> 05:18.450 pozwalają im wejść do tych obszarów. 05:18.450 --> 05:21.900 Ten obszar jest miejscem, do którego nie masz prawa się udać. 05:21.900 --> 05:25.170 Kerberos koncentruje się na uwierzytelnianiu i autoryzacji. 05:25.170 --> 05:27.570 Odbywa się to za pośrednictwem naszego systemu zgłoszeń 05:27.570 --> 05:29.280 Kerberos w domenie Windows. 05:29.280 --> 05:31.860 Kerberos to protokół uwierzytelniania, który zapewnia 05:31.860 --> 05:34.350 uwierzytelnianie dwukierunkowe lub wzajemne. 05:34.350 --> 05:36.330 Gdy użytkownik loguje się do domeny, 05:36.330 --> 05:38.400 najpierw kontaktuje się z kontrolerem 05:38.400 --> 05:42.120 domeny, który działa jako centrum dystrybucji kluczy (KDC). 05:42.120 --> 05:44.550 To KDC ma dwie podstawowe funkcje, uwierzytelnianie 05:44.550 --> 05:46.980 i przyznawanie biletów. 05:46.980 --> 05:49.410 Jeśli więc klient zostanie prawidłowo 05:49.410 --> 05:51.990 uwierzytelniony, KDC wyda mu TGT, który 05:51.990 --> 05:54.570 nazywa się Ticket Granting Ticket. 05:54.570 --> 05:56.520 Ten Ticket Granting Ticket jest następnie dostarczany 05:56.520 --> 05:58.740 do kontrolera domeny za każdym razem, gdy użytkownik chce 05:58.740 --> 06:00.060 uzyskać dostęp do zasobu, a następnie 06:00.060 --> 06:02.460 kontroler domeny może dostarczyć temu użytkownikowi bilet 06:02.460 --> 06:04.920 usługi lub klucz sesji do użycia, w zależności od tego, który z 06:04.920 --> 06:07.260 nich jest odpowiedni dla jego potrzeb. 06:07.260 --> 06:09.150 Bilety te są przedstawiane zasobowi, 06:09.150 --> 06:10.680 a dostęp jest następnie przyznawany, 06:10.680 --> 06:12.180 ponieważ zasób zawsze ufa kontrolerom 06:12.180 --> 06:14.580 domeny dostarczonym biletom. 06:14.580 --> 06:16.860 Teraz, ponieważ Kerberos polega na kontrolerze 06:16.860 --> 06:19.080 domeny, który służy jako centrum dystrybucji 06:19.080 --> 06:21.840 kluczy, jest to pojedynczy punkt awarii w domenie. 06:21.840 --> 06:23.550 Jeśli kontroler domeny jest wyłączony, 06:23.550 --> 06:26.190 usługi przyznawania biletów są również zamykane. 06:26.190 --> 06:28.350 Aby jednak temu zapobiec, większość osób korzysta 06:28.350 --> 06:31.530 z podstawowego i dodatkowego aktywnego kontrolera domeny. 06:31.530 --> 06:33.330 Zapewni to redundancję, aby 06:33.330 --> 06:36.900 upewnić się, że Kerberos działa, a LDAP nadal działa. 06:36.900 --> 06:38.790 Trzecie A to księgowość. 06:38.790 --> 06:40.980 Księgowość zapewnia śledzenie danych, 06:40.980 --> 06:44.220 wykorzystania komputera i zasobów sieciowych. 06:44.220 --> 06:46.170 Gdy to zrobimy, zwykle jest to zapisywane 06:46.170 --> 06:48.150 w czymś, co nazywa się plikiem dziennika. 06:48.150 --> 06:49.680 Jest to plik na komputerze, 06:49.680 --> 06:51.930 który jest zasadniczo tylko dużym dokumentem 06:51.930 --> 06:54.450 tekstowym i śledzi różne rzeczy. 06:54.450 --> 06:56.340 Mogą to być wszystkie połączenia internetowe, 06:56.340 --> 06:58.980 które opuszczają sieć, jak pokazano tutaj na ekranie, lub 06:58.980 --> 07:01.140 może to być lista wszystkich osób, które próbowały 07:01.140 --> 07:04.680 zalogować się do określonego pliku lub strony internetowej. 07:04.680 --> 07:07.320 Na komputerze przechowywane są różnego rodzaju 07:07.320 --> 07:09.180 dzienniki, aby śledzić wszystkie 07:09.180 --> 07:11.100 wykonywane czynności, a wszystko to 07:11.100 --> 07:14.250 ma na celu zapewnienie stosowania dobrych praktyk księgowych, 07:14.250 --> 07:16.170 ponieważ w przypadku naruszenia danych 07:16.170 --> 07:18.270 lub zagrożenia wewnętrznego można cofnąć 07:18.270 --> 07:21.090 się i spojrzeć na dane w plikach dziennika, aby dowiedzieć 07:21.090 --> 07:23.880 się, kto co zrobił i kiedy. 07:23.880 --> 07:26.310 To właśnie umożliwia księgowość. 07:26.310 --> 07:29.130 Teraz, jeśli masz dowód, że ktoś coś zrobił, 07:29.130 --> 07:32.850 że podjął działanie, nazywamy to niezaprzeczalnością. 07:32.850 --> 07:35.790 Niezaprzeczalność oznacza po prostu, że użytkownik nie może powiedzieć, 07:35.790 --> 07:39.060 że nie wykonał danej czynności, ponieważ masz dowód, że to zrobił. 07:39.060 --> 07:41.160 Na przykład, jeśli wysłałeś do mnie wiadomość 07:41.160 --> 07:43.200 e-mail i podpisałeś ją podpisem cyfrowym, 07:43.200 --> 07:45.360 jesteś jedyną osobą na całym świecie, która posiada 07:45.360 --> 07:47.910 ten prywatny klucz podpisu cyfrowego. 07:47.910 --> 07:50.400 Wiem na pewno, że wysłałeś tego e-maila. 07:50.400 --> 07:52.350 Nie możesz mi później powiedzieć, że go nie 07:52.350 --> 07:54.060 wysłałeś, bo teraz mam na to dowód. 07:54.060 --> 07:55.593 To jest niezaprzeczalność.